Призрачни файлове как криминалистите възстановяват сигурно изтрити данни
За следовател, който анализира компютъра на заподозрян, винаги има данни от особен интерес. Но на някои изглежда, че ако презапишете областта, където се намира файлът, с произволни данни, нищо няма да бъде възстановено. Това е вярно, но само отчасти. Дори след такова презастраховане данните често могат да бъдат извлечени!
Файлове с изображения
Нека започнем с разглеждането на прост случай - изтриване на обикновена снимка. Да кажем, че имаме папка със снимки и се отърваваме от една от тях. Освен това го изтриваме според всички правила, като презаписваме няколко пъти желаната област на диска. На теория нищо друго не трябва да издава съществуването си (ако ние самите не сме го копирали в друга папка преди това и не сме го забравили). Но тук много хора забравят за една функция на Windows - файла Thumbs.db. Това е специално хранилище, използвано от операционната система, което съдържа миниатюри на изображения от текущата папка. Ако изберете режима на показване „Миниатюри“ в Explorer, тогава операционната система ще вземе намалени миниатюри на изображения от този файл. Създава се във всяка папка, която съдържа изображения и съдържа миниатюри на изображения в JPEG формат (независимо от формата на оригиналното изображение).
sdelete .exe -p 2 file1 .jpg
Параметърът p отговаря за броя на преминаванията на шредера, т.е. той показва колко пъти файлът ще бъде презаписан преди изтриване. В резултат на това изображението ще бъде изтрито завинаги от твърдия диск. Но нека видим дали това премахване по някакъв начин е засегнало Thumbs.db? Отваряме го отново и какво виждаме? Миниатюрата за изтритата снимка все още е там! Оказва се, че файлът може лесно да съдържа миниатюри на вече изтрити изображения. И на това, както ми казаха, бяха хванати повече от един умен човек ...
Като тозида избегна? Много просто - просто трябва да деактивирате кеширането на миниатюри във файловете Thumbs.db. В Windows XP задайте ключа DisableThumbnailCache под HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced на "1". В Windows 7 този ключ се нарича NoThumbnailCache и се намира в HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer. И, разбира се, важно е да не забравите да изтриете всички Thumbs.db.
суап файл
Базите от страна на операционната система не свършват до един файл със скици. Докато работите с документ, информацията за него попада в различни части на операционната система - временна папка, регистър и т.н. Поради това е много трудно да се проследят и премахнат всички данни, свързани с даден файл. Освен това има места, където копие на файл може да бъде напълно случайно (понякога подобно произшествие може да бъде много скъпо). Говоря за файла на страницата (pagefile.sys) и суапа на паметта, използван по време на режим на хибернация (hiberfil.sys). Очевидно е невъзможно да се предвиди съдържанието на суап файла и никой не може да гарантира нищо тук. Предлагам още един експеримент, за да се уверя, че това е опасно място.
#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q
Като входен файл посочих пейджинг файла /mnt/hda1/pagefile.sys, а директорията за запис на резултатите - /root/Desktop/page_file. Програмата започна своята работа. За кратко време Foremost успя да намери и извлече 524 файла.
Статистика за извлечените файлове: jpg:= 73 gif:= 4 gif:= 19 jpg:= 77 jpg:= 95 doc:= 1 pgp:= 65 pgp:= 62 pgp:= 44 pgp:= 36 dat:= 7 lnk:= 3 бисквитки:= 38
Какво може да се направи тук? Вариантите са няколко. Първият е да деактивирате напълно файла за виртуална памет. За товаотидете на "Контролен панел-> Система и сигурност-> Система-> Разширени системни настройки-> Производителност-> Разширени-> Виртуална памет-> Промяна" и изберете опцията "Без файл за виртуална памет". Втората опция е да принудите операционната система да презапише всички данни във файла за виртуална памет, преди да изключите компютъра. Този режим се активира чрез задаване на ключа ClearPageFileAtShutdown под HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management на "1". За съжаление, вторият метод е много бавен и изключването на системата ще отнеме доста дълго време, така че дали е практично или не зависи от вас. Подобна е ситуацията и с файла hiberfil.sys. Можете също така просто да го деактивирате, което ще спести допълнително дисково пространство.
дефрагментиране
Нека да преминем към следващата причина за появата на призрачни файлове. За да стане по-ясно и разбираемо, нека отново проведем малък експеримент. За него се нуждаем от флашка и възможност за работа с WinHex. Първо ще осигурим условия за експеримента, като изтрием всички данни от флашката. За да направите това, стартирайте WinHex, издайте командата Open Disk и изберете нашето устройство в прозореца, който се показва. След отваряне изберете изцяло цялото му съдържание (Ctrl + A) и оценете с нули (Ctrl + L). Една забележка - процесът на презапис отнема достатъчно време, така че препоръчвам да вземете по-малка флашка. От този момент нататък няма данни на устройството и освен това няма файлова система. Така че следващата стъпка е да форматирате флашката в NTFS. По подразбиране Windows XP ви позволява да форматирате USB флаш устройството само във FAT, но NTFS е необходим за нашите манипулации. За да може операционната система да ни позволи да форматираме устройството във файловата система, от която се нуждаем, трябва да отидете в диспечера на устройствата, да намерите USB флаш устройството там и да го зададете в параметритеопция „Оптимизиране за производителност“. След това Windows ще може да форматира флаш устройството в NTFS.
Е, време е да подредим нещата: няма значение, когато файловете са разпръснати из диска така :). Започваме дефрагментирането, толкова обичано от потребителите, за нашите медии:
Доклад за анализ 7, 47 GB общо, 7, 43 GB (99 %) Безплатно, 0 % Фрагментирано (0 % фрагментиране на файлове)
Доклад за дефрагментиране 7, 47 GB общо, 7, 43 GB (99 %) Безплатно, 0 % Фрагментирано (0 % фрагментиране на файлове)
Истини и митове за магнитната микроскопия
"Добре", казвате вие, "но какво ще кажете за сериозните инструменти, с които разполагат компетентните органи и които могат да възстановят данни?" Е, нека поговорим за магнитната микроскопия. Същността на метода е да се определи състоянието на всеки бит, преди да бъде презаписан. Тоест дали е равно на едно или на нула. Нека вземем текста в ASCII кодиране. Всеки знак е кодиран с осем бита по такъв начин, че дори само един бит да бъде възстановен неправилно, се получава напълно различен знак. Например, има последователност от знаци "anti", която изглежда така в двоична форма: 01100001011011100111010001101001. Да предположим, че магнитната микроскопия правилно идентифицира всички, освен последния бит - в резултат на такова възстановяване получаваме последователността "anth". Получава се недоразумение. И ние говорим за най-простия текстов файл. Представете си какво ще се случи в случай на структурирани формати - като архиви, файлове с бази данни, изпълними файлове и т.н. Освен това методът е доста бавен и скъп. Така че в много случаи използването на магнитна микроскопия дава същия точен резултат като възстановяването чрез хвърляне на монета на хедс-опашка. Следователно няма нужда да пренаписвате три пътидиск.
Най-добрата защита е нападението
Какво може да се направи, за да се усложни живота на хората, които могат да дадат вашия компютър за преглед? Тук има няколко варианта. Ако на компютъра бъде намерен "интересен" файл, времето на създаването му ще бъде убедително доказателство срещу неговия собственик. За да проследят веригата от събития, експертите разчитат и на времето на създаване/достъп/модифициране на файла. Така че защо да не объркате следите? Metasploit.com има страхотна помощна програма, наречена Timestomp, която ви позволява да промените времето за създаване, модификация или достъп за даден файл. Основните опции за използването му:
-m дата > задава датата, на която файлът е бил последно модифициран -дата > задава датата на последния достъп до файла -c дата > задава време за създаване на файл -e дата > задава време за модификация на файла, съхранено в MFT -z дата > задава четирите горни параметъра
Датата се посочва, както следва: Ден от седмицата Месец\Ден\Година ЧЧ:ММ:СС [AMPM].
Има и една много интересна опция -b, която задава горните атрибути така, че известната в средите на компютърната криминалистика програма EnCase да не ги вижда и да ги показва празни :).
По този начин, за да промените атрибутите на файл, е достатъчно да изпълните командата в конзолата:
c: \>timestomp .exe стартиране .ini -z "неделя, 1/12/2099 22:00:00 ч."
Можете лесно да напишете скрипт, който рекурсивно ще промени временните атрибути на файловете. Най-простият вариант изглежда така:
за / R c : \ инструменти \ % i в (*) направете timestomp. exe %i - z "понеделник, 3/12/2009 22:00:00 ч."
Има и други начини да развалите живота на колегите си изследователи на HDD на други хора. В работата си те използват програми, написани от обикновени хора, и следователно съдържат грешки. да-да, можем да използваме уязвимости в софтуера, използван за намиране на доказателства. Повече за това можете да прочетете в един от докладите от конференцията DefCon.
Заключение
„Сигурното изтриване на данни“ не е панацея. Мога да ви уверя, че описаните вратички не са единствените по рода си. А тези, които по естеството на дейността си извършват експертизи на компютри на професионално ниво, знаят къде и как да намерят нужните им данни. Сега вашата безопасност е във ваши ръце - не позволявайте на "ловците на призраци" да намерят "призрак" на вашия компютър. И още по-добре - не им давайте повод да ви идват на гости :).